防火墙安全评估准则.ppt

目前市场上销售的防火墙都具备用户认证功能，但传统的防火墙的用户认证技术尚存在如下不足： 在应用代理（网关）一级的认证技术必须与应用服务相关，也就是必须针对不同的应用（如HTTP,FTP等）进行定制。如果用户有一种新的应用服务需要进行认证，则必须开发相对应的认证模块嵌进去;此外，当用户使用不同的网络服务时，需要分别进行认证，即存在多次认证的问题，使用户使用不便，因此，当存在大量的应用时，防火墙具有较大的局限性。 包过滤功能与应用代理功能的网络性能相差非常大。当用户需要用户认证模块，而用户认证模块必须在应用代理基础上实现时，会极大地影响网络性能。因此，当用户在强调网络性能的情况下需要用户认证功能时，防火墙受到较大的限制。 在对用户做计费统计时，如果在应用网关一级做统计，往往只能对某些特定的网络服务类型来做统计，而不能统计该用户使用的所有服务的流量以及时间，这样，统计的准确性和有效性将大打折扣。 针对上述用户认证技术存在的不足，防火墙新增了网络层用户认证功能，以解决用户应用上存在的问题。 防火墙的网络层用户认证系统，解决了在应用代理一级做认证存在的只能为有限的服务提供认证功能、包处理的效率低和计费（流量或时间）的局限性。它采用在链路层和网络层的用户认证技术，则可以为任何网络协议、服务提供认证功能，变为与应用服务无关的用户认证，同时大大提高了处理效率。尤其在做计费时，可以精确地统计某用户发出/接收到每一个IP包以及用户使用网络的总时间。 目前的网络层用户认证系统的主要功能有： 认证功能 支持本地认证或RADIUS认证 用户管理功能 系统管理员管理功能 时间和流量的控制和统计 防火墙系统在线检测 认证功能 用户通过联想网御定制的客户端软件，可以使用电子钥匙自动认证方式或用户手动认证方式，向服务器防火墙证明自己的身份。只有当登录用户成功证明自己的身份，该用户才可以成为防火墙系统认可的认证用户，从而可以使用认证用户才能使用的网络服务。 支持本地认证或RADIUS认证 可以使用本地认证服务器（防火墙上自带的，支持1000个用户），或者第三方的标准RADIUS认证服务器。使用RADIUS时，支持RADIUS的审计功能。 系统管理员管理功能 系统管理员可以通过Web浏览器管理认证服务器，包括：认证服务器参数的设置，增加/删除/修改本地组和用户；锁定/解除锁定特定的组或用户；设定需要认证的包过滤或透明代理规则；设置用户可使用的总的时间量和总的流量（具体说明见下文）。 时间和流量的控制和统计 每个认证用户每次连接使用的时间和流量均被记录在系统日志中，以便对用户的访问时间和流量进行统计；可以限定用户能使用的网络流量。当用户当前已经使用的流量超过该值时，用户将无法登录；可以限定用户能使用网络的时间。当用户当前已经使用的时间总量超过该值时，用户将无法登录。 防火墙系统在线检测 防火墙系统对认证通过的用户且正在使用网络服务的用户还要进行在线检测，当发现在线用户不是刚才的认证用户时，系统会自动断开网络服务的连接。 12.2中华人民共和国公共安全行业标准 GA372-2001 防火墙产品的安全功能检测 （Test for security functions of firewall） 2001-12-24发布-2002-05-01实施 12.3 GB/T20010-2005《信息安全技术包防火墙评估准则》 本标准从信息技术方面规定了按照GB17859－1999的5个安全保护等级对采用“传输控制协议/网间协议（TCP/IP）”的包过滤防火墙产品安全保护等级划分所需要的评估内容。 本标准适用于包过滤防火墙安全保护等级的评估，对于包过滤防火墙的研制、开发、测试和产品采购也可参照使用。 本标准对安全环境方面的规定如下： 12.4新技术让防火墙成为网络防御的主要力量 “在IT行业中，很多时候那些被进一步提升到网络堆栈的防御被认为是最好的防御。至少，这是一些销售商和分析专家们对下一代网络防火墙的预测。 防火墙是网络安全基础设施的一部分，负责监控进出网络的每一个框架。它是对这些网络应用提供可视性和可控性的完美的地方。”Dave Stevens——位于加利福尼亚卡里夫的Palo Alto Networks公司CEO说。 Gartner的分析师Greg Young说：“供应商越来越多地转向整合IPS(入侵预防系统)和防火墙，但目前真正综合的，功能完整的产品还是供应不求。”他以其所在公司的研究成果为例，表明威胁已经变得更加复杂，而且正逐渐转向网络堆栈的更高层。这迫使防火墙超越仅提供状态协议分析的阶段，进而具备日益丰富的管理和配置工具。 。 Fo